بازی تاج و تهدید: انتشار بدافزار از طریق نمایشهای تلویزیونی محبوب
ایدکو :
مقدمه- گرچه نحوهی استفاده از محتوای تلویزیونی دارد به سرعت تغییر میکند اما همچنان برای خودِ محتوا تقاضا بسیار است؛ کاربران دست آخر هر کاری میکنند تا به این محتواها برسند (حالا چه به روشهای قانونی و چه غیرقانونی). دنیا دارد رو به فروش برنامههای پولی میرود… نمونهاش هم نتفلیکس یا اپلموزیک. با این حال بسیاری از کشورها هنوز هم بر سر توزیع و انتشار غیرقانونی محتوا جنگ دارند. دسامبر 2018، دادگاه فدرال استرالیا طی دستور کاری اعلام کرد همهی ارائهدهندگان داخلی اینترنت باید 181 دامنهی غیرقانونی را مسدود کنند. این دامنهها در واقع به 78 وبسایت لینک میشدند که پر بودند از فایلهای ناقض قوانین کپیرایت. اوایل سال 2019، وزارت دادگستری برزیل با همکاری پلیس فدرال این کشور اقدام به آغاز عملیاتی جهت مبارزه با نقض قانون کپی کردند. هدف این عملیات مبارزه با توزیع غیرقانونی موسیقی، فیلم و نمایشهای تلویزیونی بود. این فقط دو مورد از چند اقداماتی است که دولتها و بخشهای خصوصی در سراسر جهان برای مقابله با این مشکل انجام دادهاند. اما با وجود چنین اقداماتی هنوز هم شاهد نقض قانون کپیرایت هستیم. بر اساس آخرین گزارش سالانهی دزدی[1] توسط موسو -شرکت فناوری که کارش ارائهی راهحلهای ضد دزدی، تحلیل بازار و ارتباط با مخاطب است- تعداد محتواهای دزدی رو به افزایش است.
این شرکت در سال 2017 بیش از 300 میلیارد بازدید از وبسایتهای دزدی ثبت کرد. افزایش 1.6 درصدی از سال 2016 و روند بینالمللی: ایالات متحده بیشترین تعداد بازدید از وب سایتهای دزدی را داشته است (27.9 میلیارد بازدیدکننده در سال)، به دنبال آن روسیه را داریم با 20.6 میلیارد بازدید (افزایش 46درصدی نسبت به سال 2016) و هند که ساکنانش 17 میلیارد بار به وبسایتهای دزدی سر زدند. هنوز هم بخش اعظم محتوای دزدی مختص فایلهای قابل دانلود است: گزارش WebKontrol 2019 ادعا میکند وبسایتهای تورنت هنوز از نظر حجم محتوای دزدی به سرقت رفته در روسیه حرف اول را میزنند و بعد از آن شاهد میزبانی وب و سرویسهای پخش هستیم. علاوه بر این، سهم لینکهایی که در وبسایتهای تورنت به محتواهای غیرقانونی هدایت میشوند از سال 2018 رشد 14 درصدی داشته است (از 24 درصد به 38 درصد رسیده است) و دارد گوی سبقت را از وبسایتهای پخش برنامه نیز میرباید.
تورنتها به عنوان منبعی سودآور همچنین روش محبوبی برای توزیع کد مخرب هستند. تا به حال مطالعات زیادی در مورد اینکه مجرمان سایبری چگونه از این فرصت سوء استفاده میکنند انجام شده است. بر اساس نتایجِ تحقیقی مشابه در سال 2015، 35 درصد محتواهای دزدی نشان از فایلهایی دارد که از طریق BitTorrent به اشتراک گذاشته بودند. بیش از 99 درصد این فایلهای تقلبی تحلیلشده یا به وبسایتهای مخرب و یا اسکم لینک میشدند. یافتههای اخیر آزمایشگاه کسپرسکی و محققین مستقل این روند را تایید کردهاند.
اما چه محتوایی مورد هدف قرار میگیرد؟ ردیابهای تورنت در اصل جولانگاهِ آنهایی بودند که به دنبال نسخههای دزدیِ بازیها و سایر نرمافزارها و همچنین بلاکباسترهای هالیوود[2] میگشتند. با این حال، در سالهای اخیر، نمایشهای تلویزیونی از نظر محتوا در میان بینندگان سراسر جهان، به محبوبترین نوع محتوا تبدیل شدهاند – گاهی اوقات حتی محبوبتر از فیلمهای هالیوود. طبق گزارش موسو، یکسوم کل کاربرانی که از محتوای دزدی استفاده میکنند به محتوای تلویزیونی علاقه نشان میدهند: نمایشهای تلویزیونی همچنان بین کاربران، محبوبترین محصولند (سال گذشته 106.9 میلیارد بازدید داشتند). بعد از آن به محتوای موزیک میرسیم (با 73.9 میلیارد بازدید) و در نهایت محتوای فیلم را داریم (53.2 میلیارد بازدید).
چنین محبوبیتی محال است نظر مجرمان سایبری را به خود جلب نکند. برای اینکه بدانید آنها چطور از چنین آب گلآلودی ماهی میگیرند روی چشمانداز تهدیدات بدافزار تحقیقاتی انجام دادیم؛ تهدیداتی که خود را به شکل اپیزودهای جدید نمایشهای محبوب تلویزیونی توزیعشده توسط وبسایتهای تورنت درآورده بودند. هدف ما این است که ببینیم کدامیک از سریالهای تلویزیونی بیشتر از همه جولانگاه بدافزارهاست. همچنین میخواهیم بدانیم کدام تهدیدها از این طریق توزیع میشوند.
متودولوژی و یافتههای کلیدی
برای اینکه مطمئن شویم سریالهای تلویزیونیای که رویشان تمرکز کردهایم به حد کافی محبوب بودند یا نه، فهرستی از جذابترین نمایشهای تلویزیونی 2018 را با استفاده از منابع عمومی مختلف از جمله IMDB، Rotten Tomatoes و سایر منابع رتبهبندی آنلاین تهیه کردیم. همچنین سریالهایی که از همه بیشتر قربانی بدافزارها شده بودند را نیز پیدا کردیم. در مجموع به 45 عنوان رسیدیم اما از آنجا که برخی از محبوبترین نمایشها همزمان در چند رتبهبندی ظاهر شدند کمی اصلاحات روی آن انجام دادیم و بعد به فهرست 31 تاییِ نمایشهای تلویزیونی رسیدیم (بر طبق رتبهبندیهای عمومی مختلف مانند IMDB، Rotten Tomatoes و غیره عناوین بر اساس حروف الفبا فهرست شدهاند):
Altered Carbon
American Horror Story
Arrow
Better Call Saul
Daredevil
DC’s Legends of Tomorrow
Doctor Who
Game of Thrones
Grey’s Anatomy
Homeland
House of Cards
Killing Eve
Legends of Tomorrow
Modern Family
Roseanna
Sharp Objects
Stranger Things
Suits
Supernatural
The Big Bang Theory
The Flash
The Good Doctor
The Good Place
The Handmaid’s Tale
The Haunting of Hill House
The Walking Dead
The X-files
This Is Us
Vikings
Westworld
Young Sheldon
سپس هر عنوان را با استفاده از پایگاه اطلاعات خطر خود سنجیدیم. با استفاده از آمار خطر جمعشده از طریق زیرساختارمان به نام KSN (شبکه امنیت کسپرسکی[3]) -که کارش پردازش اطلاعات مرتبط با امنیت سایبری است- چک کردیم ببینیم آیا کاربرانی که قبول کردند آمار خطر را با KSN به اشتراک بگذارند تا به حال حین دست وپنجه نرم کردن با سریالهای تلویزیونی به بدافزاری برخوردند یا نه.
سپس بررسی کردیم ببینیم آیا هیچ ارتباطی بین تعداد و ترتیب اپیزودهای هر فصل و علاقهی عامل بدافزار در آنها وجود دارد یا نه. علاوه بر این، میزان تأثیرِ هر بدافزار را نیز تخمین زدیم و اینکه هر شویی تا چه میزان توانسته برای مهاجمین طعمهی خوبی باشد. برای انجام این کار تعداد کل کاربرانی را که مورد حمله واقع شدن بودند به تعداد فایلهای مخرب تقسیمبندی کردیم و همین کار را نیز روی هر سریال تلویزیونی نیز انجام دادیم. بدینترتیب دستمان آمد که میانگین کاربران دست کم یک فایل مخرب شوی تلویزیونی چقدر است (البته تا حدودی). این کار خیلی به ما کمک کرد تا بتوانیم بفهمیم کدام شو از همه بیشتر در دام بدافزارها افتاده است.
در آخر نگاهی داشتیم به انواع تهدیدهایی که با پوشش سریالهای محبوب، بیشتر از همه کاربران را مورد هدف خود قرار میدهند.
و حالا یافتههای بدستآمده:
تعداد کل کاربران سراسر جهان که در سال 2018 با بدافزارهای مرتبط با شوهای تلویزیونی مواجه شدند 126,340 بود؛ در حقیقت یکسوم کمتر از تعدادی که در سال 2017 تخمین زده شد. دیده شده است که تعداد حملات توسط چنین بدافزارهایی کاهش 22 درصدی داشته است (ثبت 451,636 اقدام).
سه تا از برترین شوهای تلویزیونی که به عنوان تله استفاده شدند و قربانی زیادی گرفتند: Game of Thrones، The Walking Dead و Arrow.
17 درصد کل محتوای دزدی آلوده در سال 2018 به Game of Thrones تعلق میگیرد (به 20,934 کاربر حمله شد) تازه جالب است بدانید در این سال اپیزود جدیدی هم از آن بیرون نیامده بود.
طبق تحلیلهای ما اولین و آخرین اپیزودهای هر فصل Game of Thrones خطرناکترینها بودهاند. در مجموعه لابراتوار کسپرسکی اولین و آخرین اپیزودهای هر فصل از این شو بیشترین تعداد فایلهای مخرب را داشتهاند و همچنین کاربران هم بیشتر از هر زمان دیگری آلوده شدند.
Winter Is Coming -اولین اپیزود شو- از همه بیشتر مجرمان سایبری را به خود مشغول کرد.
ظرف دوسال 33 نوع و 505 خانوادهی مختلف تهدید پشت شوی Game of Thrones شناسایی کردیم.
به طور متوسط 2.23 کاربر در هر فایل بدافزار (در قالب شوی تلویزیونی) هفت بار مورد حمله قرار گرفتند.
American Horror Story هم ثابت کرد که مؤثرترین کاور برای اقدامات بدافزار به حساب میآید- هر فایل مخرب مخفیشده پشت این عنوان به متوسط سه کاربر رسیده است.
Not-a-virus:Downloader و Not-a-virus:AdWare دو تا از محبوبترین تهدیدهایی بودند که از طریق محتوای شوی تلویزیونی انتقال داده شدند. خطرناکترین نوع بدافزار هم همان تروجان است که دیگر همه با نام آن آشناییم.
نگاه کلی: بدافزار در راه است
تحلیل پیلودهای مخرب در قالب عنوان سریالهای محبوب تلویزیونی و مقایسهی نتایج دو سال 2017 و 2018 نشان داد تعداد چنین فایلهای مخرب، حملات و کاربران قربانی تقلیل یافته است. به طور کلی 126,340 کاربر مورد حمله واقع شدند- این یعنی یکسوم تعدادی که در سال 2017 تخمین زده شد (188,769). این کاهش را در کمتر جایی میتوان شاهد بود. برای مثال گزارشات اخیر نشان میدهد تعداد کاربرانی که از طریق محتوای مستحجن به دام این بدافزار افتادند سال 2018 تنها 45 درصد کاهش یافت. درست مانند تعداد کاربران، تعداد بدافزارها هم همچنین کم شده است: در سال 2017 که سال بسیار خوبی برای بدافزارها بود 82,091 نمونه به پایگاه اطلاعاتی خود اضافه کردیم، این درحالیست که در سال 2018 این رقم طی کاهشی 30 درصدی به 57,133 رسید.
تعداد کل حملات شناساییشده توسط راهحلهای امنیتی ما نیز کم شده است اما تنها 22 درصد (451,636).
شاید دلیل چنین کاهشی را بتوان با رخدادهای امسال مربوط دانست که روی تعداد دانلودهای فایل تورنت هم تأثیر گذاشت. اول اینکه در سال 2018 گوگل بیش از 65 هزار وبسایت تورنت -توزیعدهندگان اصلی نمایشهای تلویزیونی دزدی- را در رتبهبندی پایینی قرار داد و همین باعث شد بسیاری از کاربران نتوانند حین جستوجوی دانلود سریالها آنها را پیدا کنند. اقدامات فعالانهای برای بستن وبسایتهای تورنت صورت گرفت و همین باعث شد هر روز بیشتر و بیشتر آنها را بلوکه کرده و یا به دردسر بیاندازند. برای مثال، دو ردیاب تورنت اصلی (Pirate Bay و Demonoid) اخیراً به شدت دچار افت کارکرد شدهاند. یکی از مهمترین آنها Leechers Paradise که برای همیشه بسته شد.
در پاسخ، وبسایتهایی که کارشان پخش کپیهای دزدیی فیلمها و سریالهاست دارند روز به روز محبوبتر میشوند و دارند یکجورهایی کار و کاسبی تورنتها را کساد میکنند. با این حال، تورنتها همچنان در رأس امورند و در تلاشند کاربران بیشتری را مورد هدف خود قرار دهند. به منظور بررسی میزان تأثیر چنین بدافزارهایی تعداد کل کاربران قربانی را با تعداد کل فایلهای آلودهی شناساییشده مقایسه کردیم. با تقسیم تعداد کاربران به تعداد فایلها به این مسئله پی بردیم که هر بدافزار شوی تلویزیونی متوسط 2.23 کاربر را در سال 2018 آلوده کرده است.
علاوه بر این، فهرستی از محبوبترین تورنتهای 2018 را با فهرستی از آلودهترین سریالهای تلویزیونی قیاس کردیم:
شوهای تلویزیونی برتر حاوی بدافزار بودند
محبوبترین تورنتهای شوی تلویزیونی
Game of Thrones
The Walking Dead
The Walking Dead
The Flash
Arrow
The Big Bang Theory
Suits
Vikings
Vikings
Titans
The Big Bang Theory
Arrow
Supernatural
Supernatural
Grey’s Anatomy
Westworld
This Is Us
DC’s Legends of Tomorrow
The Good Doctor
Suits
محبوبترین تورنت 2018 گزارششده توسط TorrentFreak در مقایسه با محبوبترین سریالهای تلویزیونی اما در باطن بدافزار
همانطور که در جدول بالا مشاهده میکنید، از این 10 سریال 6 سریال در هر دو ستون قرار دارند: پس هرقدر شوی تلویزیونیای بیشتر محبوب باشد بیشتر هم به چشم مجرمان سایبری خواهد آمد. در عین حال، چندین نمایش تلویزیونی که سازندگانشان حسابی آنها را تبلیغ کردند و قرار بود خیلی محبوبیت بدست آورند (Westworld، DC’s Legends of Tomorrow و چندتای دیگر) نتوانستند خیلی در بخش انتقال آلودگیها موفق عمل کنند.
فایلهای بدافزار: سریالهایی که اغلب اوقات آلوده میشوند
مجرمان سایبری به یک سری از شوهای تلویزیونی علاقه بیشتری نشان میدهند و این حقیقت ثابت شده است (آمار این را نشان میدهد). برای اینکه بدانیم کدامیک از آنها بیشتر از بقیه عاملین تهدید را بیشتر به خود جذب میکنند شروع کردیم به بررسی و تحلیل تعداد فایلهای بدافزار پنهانشده در پس عناوین تلویزیونی، اینکه چند بار به کاربران حمله کردهاند و طی چنین حملاتی چند کاربر قربانی شده است.
فایلهای مخرب نشان دهندهی تعداد نمونههای بدافزارهایی است که کاربران ما با آنها مواجه شدند. منظور از Attacks تعداد دفعاتی است که راهحلهای امنیتی ما گزارش شناسایی دادند و منظور از Users attacked کاربرانی هستند که (دست کم یک بار) توسط بدافزارهای مرتبط با سریالهای تلویزیونی مورد حمله قرار گرفتهاند.
بین همه سریالها Game of Thrones بیشترین قربانی را گرفته است (توسط بدافزاری به همین نام). تعداد: 20,934. این بدافزار 129,819 بار تلاش داشت تا کاربران را آلوده کند و تعداد کل فایلهای بدافزار با تم بازی تاج و تخت در مجموعه تهدید ما به 9,986 میرسد.
دومین جایگاه هم در 2017 و هم 2018 به Walking Dead اختصاص دارد: به 18,794 کاربر حمله شده است. سومین جایگاه نیز برای Arrow است (12,163 کاربر).
همچنین نگاهی دقیق داشتیم به اپیزودهای نمونه از دو تا از آخرین فصلهای Games of Thrones (6 و 7) و فصل اول و اوریجینال آن. نتایج نشان داد تعداد فایلهای آلوده که فناوریهای حفاظتی ما شناسایی کردند به طور قابلملاحظهای از هر اپیزود به اپیزودِ دیگر متغیر بود.
برای چنین تحلیلی هم منابع لازم است و هم زمان زیادی. به همین دلیل تمرکز خود را منحصراً روی بازی تاج و تخت گذاشتیم. ما روی سه فصل مختلف GoT بررسیهایی انجام دادیم که البته مطمئن نیستیم همین حملات را روی فصلهای دیگر نیز به همین روش انجام داده باشند. همانطور که قبلاً گفتیم فایلهای بدافزار خود را شبیه شوهای تلویزیونی میکنند که از بین اینها Game of Thrones بیشترین تعداد قربانی را گرفت.
از شماره ده که پایین بیاییم به Walking Dead میرسیم. این سریال بعد از بازی تاج و تخت بیشترین موفقیت را برای فایلهای بدافزار داشته است (2.69 کاربر به طور متوسط) سپس به ترتیب Grey’s Anatomy (2.65) و بعد Supernatural (2.34).
آناتومی تهدید: بخشهای تهدید و انواع تهدیدها
برای بخشهای تهدید و انواع تهدیدها نمونههایی از محبوبترین شوهای تلویزیونی 2017 و 2018 را خارج کردیم و انواع و خانوادههای مختلف تهدیدها را شمردیم. نتیجه: شناسایی 33 نوع تهدید و 505 خانواده مختلف در پس سریال بازی تاج و تخت.
تهدید فراگیر: تروجانها
بر اساس آمار، رایجترین نوع تهدید، تروجانها هستند. در 17 درصد همهی موارد مربوط به دزدی از شوهای تلویزیونی تروجانها یک پای قضیه بودهاند. خانوادهی WinLNK.Agent. یک تروجان نوع خطرناکی است از بدافزار که می تواند آسیب زیادی وارد کند (از سرقت اطلاعات گرفته تا کنترل و نظارت بر سیستم آلوده).
سناریوی معمول: کاربر یک فایل تورنت دانلود میکند و یا آرشیوی با میانبر به یک ایمیل دریافت مینماید. ابتدا فکر میکند کپی اپیزودی است که مدتها منتظرش بوده. حال، جدا از این میانبر، آرشیو مذکور همچنین حاوی فولدری با ویژگی system خواهد بود… همین قابلیت است که آن را نامحسوس میکند؛ بطوریکه حتی اگرWindows Explorer هم جوری تنظیم شود که فایلهای پنهان را نمایش دهد باز خود را نشان نمیدهد.
کاربر با کلیک کردن روی میانبر با امید اینکه بتواند ویدیو را تماشا کند اسکریپت AutoIt را که در فولدر مخفی جا خشک کرده است باز میکند.
خانواده Not-a-virus
دومین نوع تهدیدها که جزو سه تهدید محبوبند، خانواده not-a-virus است که بیشتر در قابل آگهیافزارها یا دانلودرها خودشان را نشان میدهند. not-a-virus:AdWare.Win32.FileTour. نوعی آگهیافزار است که شاید به لحاظ فنی نرمافزاری قانونی باشد اما در بسیاری از موارد کاربر مجبور است با برنامهی طرفسومی کار کند که همانها در نهایت این آگهیافزارها را آلوده میکنند.
جایگاه سوم هم متعلق است به خانواده not-a-virus اما از نوع تهدید دانلودرش. این تهدید در عین حال که بیگناه است اما یکجورهایی آزاردهنده هم هست زیرا مدام در تلاش است دانلود کند. نقشه ساده است: کاربر به دنبال شویی تلویزیونی یا سایر رسانهها وبسایتی را سر میزند و کلی دکمه دانلود میبیند.
چطور ایمن بمانیم؟
دقت کنید ببینید وبسایت معتبر است یا نه. هیچوقت از چنین وبسایتهایی دیدن نکنید مگر آنکه از قانونی بودن آنها مطمئن شده باشید.
همیشه مطمئن شوید وبسایت اصل است. این کار را (قبل از دانلود) با چک کردن فرمت یوآر ال و یا املای نام شرکت انجام دهید. وبسایتهای تقلبی ممکن است خیلی شبیه نسخههای واقعیشان باشند اما همیشه یک جاهایی از آنها ایراد دارد که اگر کمی دقت به خرج دهید میتوانید تفاوت آنها را با نسخههای اوریجینال تشخیص دهید.
به افزونهی فایل دانلودشده توجه بسیاری کنید. اگر دارید اپیزودهای سریالهای تلویزیونی دانلود میکنید یادتان باشد که نباید با پسوند .exe تمام شود.
حواستان به تورنتهایی که استفاده میکنید باشد و همیشه کامنتهایی را که در مورد فایلهای قابلدانلود میگذارند بخوانید. اگر کامنتها بیربط باشند پس احتمالاً با یک بدافزار مواجه هستید.
روی لینکهای مشکوک که وعدههای رنگین میدهند کلیک نکنید. همیشه سعی کنید جدول زمانبندی خود سریال تلویزیونی را دنبال کنید.
از راهحلهای قابلاطمینان برای حفاظت همهجانبه از طیف وسیعی از تهدیدها استفاده کنید. از جمله Kaspersky Internet Security.
[1] Annual Piracy Report
[2] Hollywood blockbuster
[3] Kaspersky Security Network
منبع: کسپرسکی آنلاین